shift后门漏洞复现

看了Y4佬的博客知道了这个漏洞，挺有意思的，所以学习复现一下

shift简介windows系统连按5下shift键会弹出一个粘滞键窗口

即启动了System32目录下的sethc.exe文件

它本来的作用是给同时按下两个或多个键有困难的人设计的，启用之后可以一次按一个键达到组合键的效果。这个功能普通人基本用不到，我也是在学这个漏洞的时候才知道有这个东西的。

在登入状态，连按5次shift键会以当前用户权限执行sethc.exe；在登陆界面还进入系统时，没有用户的概念，所以会以最高权限(管理员权限)system执行。该功能存在安全隐患

原理我看师傅们称之为偷天换日：

连按5次shift键，windows系统会启动System32目录下的sethc.exe文件，可以用cmd.exe或者其他木马后门文件替换粘滞键exe文件，之后再连按5次shift键启动的就是我们替换的文件了。

利用破解开机密码如果有条件的话，用U盘破解密码简单高效，没有启动盘就可以用这个方法试试了。

前置知识cmd程序路径：

C:\Windows\System32\cmd.exe

sethc程序路径：

C:\Windows\System32

修改账户密码：

net user username password

添加账户密码：

net user username password /add

把账户添加到administrators(管理员)用户组里：

net localgroup administrators username /add

文件重命名：

ren <旧文件名> <新文件名>

切换磁盘：

<盘符>冒号

同磁盘下切换工作目录：

cd \路径

漏洞验证基本流程1、未登录系统时，连按5次shift键，若弹出粘滞键窗口则存在漏洞

2、强制关机让电脑进入”自动修复”界面

3、依次选择”高级选项”、”疑难解答”、”高级选项”、”命令提示符”

4、在命令行窗口先将sethc.exe备份一个副本(取个别名)，然后用cmd程序替换掉sethc程序(或者用notepad命令调出记事本，然后改文件名也行)

5、重启后在登录界面连按5次shift键，弹出cmd窗口，再输入命令修改登陆密码或者添加账户。

详细截图虚拟机开机，当出现Windows图标时，就强制关机(右键->电源->关闭客户机)，重复2-3次，模拟生活中出现的不正常关机，然后进入自动修复界面

基本硬关机2次之后再开机就进入了自动修复界面

高级选项

疑难解答

高级选项

命令提示符

直接出现了cmd窗口，而且权限为system

但是这里在X盘，不在C盘，这里我不明白这个X盘是哪来的，以后有机会再学习下。

然后输入以下命令即可

12345c:cd windows\system32//下面就是最巧妙的"偷天换日"了ren sethc.exe abc.exe //abc文件名随意取,别和同目录文件重名应该就行了ren cmd.exe sethc.exe

或者用notepad命令调出记事本，文件选择打开

选择所有文件

再找到sethc.exe和cmd.exe，做一下替换

好了之后关掉窗口选择继续，或者直接重启都行

重启后在登录界面连按5次shift键，成功弹出cmd命令行，这个命令行存在时间限制，快点输入命令添加用户

这里可扩展性很强，你可以修改原账户密码为空，也可以创建新账户，创建新账户还涉及到创建隐藏账户，这个涉及到权限维持了，我还没学习过，先不弄了。

重启后出现了前面创建的用户，成功登录系统

这里把原账户密码设置为空，相当于无密码可以直接登录

创建新用户一般是在别人的电脑上用的，因为如果你改了别人账户密码，别人下次登录就被发现有问题了，创建新账号进入系统，最后不要忘了把新建账户删了，防止被发现。

留后门如果渗透时拿到较高权限的shell可以直接在shell里执行命令(需要管理员权限)

然后制作一些木马程序替换掉sethc.exe就行了

1copy C:\Windows\System32\virus.exe C:\Windows\System32\sethc.exe

或者直接手动替换(需要管理员权限)

权限不够的话需要提权

修复方案方案一：禁用shift粘滞键功能

方案二：删除sethc.exe程序所有用户运行权限

方案三：添加一个”Everyone”用户组，权限拒绝所有

以上方案参考网上资料的，由于网上很多都是windows老版本，我复现用的是win10，权限控制这一块好像管的严我弄不来，没有实操方案二和方案三，但可以学习其权限控制的思想

参考资料https://y4tacker.blog.csdn.net/article/details/106946893

https://ysneko.com/archives/250/

https://www.cnblogs.com/BOHB-yunying/p/11695140.html

https://blog.csdn.net/qq_46620129/article/details/113204312

https://blog.csdn.net/zzgslh/article/details/105651132

https://blog.csdn.net/weixin_43178927/article/details/88841953

[https://mochazz.github.io/2017/07/29/shift/#%E5%81%B7%E5%A4%A9%E6%8D%A2%E6%97%A5

https://blog.csdn.net/SuperChanon/article/details/8255566

https://blog.csdn.net/auuuuuuuu/article/details/88902791